内外控失效
“这位盗取CSDN用户数据库的黑客可能涉嫌‘非法入侵计算机系统罪。”知名IT律师赵占领说,“根据《刑法》第285条,非法侵入计算机系统,或者采取其他技术手段获取计算机系统中的数据,情节严重者会判处3年以下有期徒刑,情节特别严重者判处3年到7年。”
并且,提供用户数据、传播用户信息、出售个人信息等行为也违反了法律,“非法出售、提供个人信息,判处3年以下有期徒刑。”
实际上,由于法律意识淡薄,以及抱着好玩的态度,很多在互联网公司从事安全的技术员工,以及安全厂商的技术员工都或多或少地盗取、传播过用户的信息库。
在黑客圈中的广泛看法是:只要不进行售卖、钓鱼等明显的盈利行为,那么就并不违法。
“大家都会觉得没事。因为此前,互联网上,根本没有人因为用户信息泄漏的问题而被抓。”星云融创CEO马杰说,“尽管安全厂商会与员工、互联网公司会与安全系统的员工签订相关的协议,写清楚在供职期间不允许做危害公共安全的事情。但是这个禁令基本无效。”
“白天安全工程师晚上黑客”
“CSDN对敏感信息不敏感,也缺乏安全意识。”CSDN总裁蒋涛承认,国内不少大型网站安全意识也都很薄弱。目前,整个互联网的安全现状极不乐观:70%以上的加密算法密码库都可以通过高频碰撞破解,80%以上的互联网公司都存在漏洞,60%以上有安全策略的公司还存在着漏洞。
这些漏洞,便是黑客入侵的基础。
众多的黑客潜伏在IT互联网公司。根据目前公布出来的调查结果,在这次泄密门事件中,《YY语音》的信息泄漏来自其员工,而窃取CSDN用户数据也是互联网公司的技术人员干的。
“这是企业员工的自发行为,和企业并没有关系。但这也说明了安全行业身份的多重性。”一位黑客说,这些人可能白天是某企业的安全工程师,晚上就是黑客。
“这一次,黑客是善意的,曝出来的都是以前的库。”一位不愿具名的安全行业工程师透露,实际上,他们手里有最新的库,但出于对行业环境的考虑,没有把这些库曝出来。
缘何网站忽视预警?
两个祸首被抓之后,有人爆料称,在“泄密门”发生之前,其实是有预警的。但是,为何网站们对预警如此忽视?这缘于黑客与网站之间多年形成的微妙关系。这些网站对黑客往往是又气又恼。在黑客面前,网站就像一个学生。黑客老师天天挑学生的毛病,刚开始可能觉得是正向激励,日子久了,自然对黑客没好脸色。
更有一些网站极端地认为,没有黑客,网站的漏洞在某种程度上来说就不存在,“即便存在,也不打紧。只要不暴露,就可以视而不见”。
但是,网站又无法“忽视”黑客。因为黑客冷不防就会给上“温柔一刀”。有的互联网企业直接“招安”黑客,纳入麾下;有的小网站每月给黑客上交1万~2万元的“保护费”。
“其实,黑客需要的是肯定。”一位安全行业工程师说。如果网站能在一些漏洞平台上给提交漏洞的黑客以积分,用作鼓励。黑客也愿意无私提交发现的漏洞,如此形成一个良性循环。